tcpdump基础用法

tcpdump   -i ens33 -tnn dst port 80 -c 1000
#对ens33网卡 的80 端口进行抓包,只抓访问报文,且抓满1000个就停下,-tnn t是tcp的意思可换成u只抓udp或者两个tu两个都抓,nn的意思是显示端口,不加nn 80会被解析成http

tcpdump -i ens33 host 192.168.0.13 and -tnn dst port 80 -c 1000
#对ens33 的80 端口进行抓包同时过滤吊其他报文只抓192.168.0.13

tcpdump 和 iptables_第1张图片

#如图, 加了dst 只抓访问报文,不加访问报文和回包一起抓,如果只想看回包的话加上src。

同时抓两个端口
tcpdump -i ens33 host  192.168.0.13 and -tnn dst  port 80 or 22 -c 1000
#对192.168.0.13 的 80和22端口同时抓
tcpdump -i ens33 host  192.168.0.13 and -nn 'icmp'
#对192.168.0.13 对icmp报文,抓包,自己ping自己抓不到

防火墙拒绝了80端口,再抓包

tcpdump 和 iptables


#图中可以看到,能收到访问报文,但是服务器拒绝了80端口,就没有回包了

tcpdump 和 iptables_第2张图片
tcpdump -i ens33 dst 192.168.0.13 and src 192.168.0.70 and -tunn port 80 -c 1000
#抓源地址为192.168.0.70 目标地址为192.168.0.13 的 80端口报文

iptables基本

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#表示从input 方向插入一条 允许80端口的规则
iptables -nL #查看规则,n显示端口,不加80显示成http,可以加INPUT OUTPUT只查看入口或者出口方向

tcpdump 和 iptables_第3张图片
iptables -D INPUT 1 #删除INPUT表里的 第一条规则
tcpdump 和 iptables_第4张图片

iptables -A INPUT -s 192.168.0.70  -p icmp -j DROP
#拒绝 源地址为192.168.0.70的 icmp 报文,不加 -s 就是拒绝所有
iptables -I INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
#在最前面添加一条规则,意思是放行服务器ping别人的回包 0表示回包 8是去;这两条要组合起来才能达到服务器能ping 别人,别人不能ping 服务器,而且第二条必须要在第一条的上面。

iptables -A INPUT -s 192.168.0.14 -j DROP
#拒绝源地址为 192.168.0.14 的所有连接

I 加在第一行  A加在最后一行  -p 协议 有tcp udp icmp  -s 原地址 -d目标地址
-j 动作 ACCEPT DROP 放行 拒绝

iptables 匹配规则
iptables匹配上由上自下匹配的,匹配到了一个下面的规则就不会在匹配了
tcpdump 和 iptables_第5张图片
#这边匹配到第一条放行后,就不会在匹配第二条了,所以能ping通